Este incidente cibernético arrancó, sin embargo, en el mes de septiembre cuando se infectó a un usuario con el malware Raccoon, un programa malicioso de tipo troyano que busca hacerse con datos sensible como las contraseñas o números de tarjeta de crédito de los dispositivos infectados.
Así, los ciberdelincuentes lograron infectar a un empleado que no tenía instalado ningún antivirus el pasado 4 de septiembre de 2023 y hacerse con una serie de contraseñas, entre ellas las de la cuenta de RipeNCC de Orange, una de las cinco organizaciones a nivel mundial que se encarga de gestionar las direcciones IP y la coordinación de infraestructura de internet en Europa, Oriente Medio y partes de Asia Central. La contraseña en cuestión para acceder a RipeNCC era simplemente ‘ripeadmin’.
Concretamente, el atacante detrás de todo esto es ‘Ms_Snow_OwO’ en X (antes Twitter), quien ha reinvidicado el secuestro de la cuenta de Orange España y ha publicado diferentes pantallazos para demostrarlo, entrando incluso en la cuenta en la que se ve el mail utilizado y el nombre de usuario. El ataque se llevó a cabo en la madrugada del martes al miércoles, horas antes de que comenzaran las incidencias de conectividad.
Un cambio de datos tumbó la red
El autor modificó entonces el número AS perteneciente a la dirección IP de Orange, provocando importantes interrupciones con una caída del 50% del tráfico. Concretamente, con la modificación de algunos de los prefijos de direcciones IP introduciendo datos inválidos, el ciberatacante provocó que otras redes se desconectaran de la de Orange, lo que supuso un importante golpe a la conexión de todos los clientes del Grupo en nuestro país: Orange, Jazztel y Simyo.
Para conseguir esto, el ciberatacante ha creado objetos ROA (Route Origin Attestations), empleados por otras redes para certificar que un rango IP pertenece a un ASN (Autonomous System Numbers) antes de levantar sesión BGP e intercambiar tráfico. Este Objeto ROA lleva asociado un certificiado RPKI, pero el atacante modificó el código, lo que ha provocado que las demás redes rechazasen el intercambio de tráfico con el ASN de Orange, lo que ha provocado que la red se quede desconectada del resto.
La caída de la red de Orange se inició a las 15:30 horas, pero la recuperación se alargó hasta las 18:45, un periodo en el que la teleco francesa trabajó con RIPE5 para recuperar el acceso a su cuenta y modificar los prefijos afectados. Así lo confirmaba el propio operador, que aseguró que “en ningún caso los datos de nuestros clientes están comprometidos, solo ha afectado a la navegación de algunos servicios”.
Si (
No(
